Let's Encrypt: kostenlose SSL-Zertifikate

[heavy]

Lieber Hafer schaue dir bitte das neue Video an, dort muss einem die Domain nicht gehören, da die Authentifizierung über eine html datei stattfindet, die dann auf dem Webserver liegen muss und nicht über eine Mail.

 

[Frogman]

Let's Encrypt überprüft die Domainhoheit ja ähnlich.

 

[Hafer]

cool, gestern was gelernt, heute schon veraltet ;-)

Gruß Hafer

 

[heavy]

Veraltet ist es nicht, es ist nur eine andere Art von Zertifikat, für startssl gilt es immernoch, dass einem die Domain gehören muss.

 

[Joesix]

So, jetzt habe auch auch die ersten Tests mit letsencrypt hinter mir. Die Idee alles automatisiert zu machen gefällt mir im Prinzip gut erfordert aber, gerade in komplexeren Umgebungen, u.U. viel Vorbereitung. Aufgrund der immer noch hohen Komplexität des Verfahrens fürchte ich, dass es nicht wirklich zum massenhaften Einsatz kommen wird. Sehr unangenehm finde ich die Tatsache dass Zertifikate nur für max. 90 Tage ausgestellt werden

 

[Frogman]

Im Moment läuft ja die Beta-Phase mit einigen Beschränkungen - die werden aber nach Produktivschaltung wegfallen.
Ich denke auch, dass die Clients nach und nach portiert werden - und ich bin ziemlich sicher, dass wir bald einen Client für das DSM haben werden

 

[Kidaru]

Im Moment läuft ja die Beta-Phase mit einigen Beschränkungen - die werden aber nach Produktivschaltung wegfallen.
Ich denke auch, dass die Clients nach und nach portiert werden - und ich bin ziemlich sicher, dass wir bald einen Client für das DSM haben werden

Na das hoffe ich doch auch, commandozeile gut und schön und schnell und und und ... aber bei ner DS die fast DAU sicher von der Weboberfläche zu bedienen ist wäre der Zerfikatkram besser von dort einzurichten

 

[Frogman]

Darfst Dich gerne bei der Portierung beteiligen

 

[Kidaru]

von Portierung und Codeanpassung der Pakete hab ich leider soviel Ahnung wie ne Kuh vom Eierlegen.
Allerdings muss hier auch Synology mitspielen da der Großteil der Zertifikatsverstellung ja schon vorhanden ist und dort ansich nur die Option fehlt die Zertifikatserstellung über Lets Encrypt laufen zu lassen ^^

 

[Frogman]

Dann darfst Du Dich zumindest mit einem Ticket beim Synology-Support beteiligen mit dem Wunsch, das zu implementieren - denn das sollte jeder hinbekommen, auch wenn er keine Ahnung vom Eierlegen hat

 

[melo]

Frogman, ich würde mich sehr gerne an der Portierung beteiligen! Kann durchaus brauchbar in verschiedenen Sprachen programmieren, habe den Client im Manual Mode schon angewandt, die Zertifikate für die DS eingerichtet und daher immerhin schon mal ein wenig Ahnung von der Materie. Packages für DSM selbst habe ich aber noch nicht geschrieben. Falls sich hier aber ein Team zusammenfindet (Matthieu hatte auch schon von einer Portierung gesprochen), würde ich mich gerne anschließen. Das wäre für mich ein prima Einstieg in die Entwicklung von Synology Packages und hilfreich könnte ich dabei vermutlich auch sein =)

 

[andisds]

Also ich bekomme Lets Encrypt auf meiner DS 215+ nicht zum Laufen ... ich verzweifel hier
Ich habe von LetsEncrypt die Bestätigung bekommen, dass ich mit meiner Domain ins Beta Programm aufgenommen wurde und habe auch die Anweisungen der Mail befolgt. Beim Ausführungen von "./letsencrypt-auto --agree-dev-preview --server \ https://acme-v01.api.letsencrypt.org/directory certonly" bekomme ich die Fehlermeldung, dass Virtualenv nicht gefunden wurde, dass wollte ich jetzt installieren.



Ich habe das Python Paket 3 und die Module über das Paketzentrum installiert und wollte dann über das Terminal "pip install virtualenv" ausführen. Doch hier gibts nur die Fehlermeldung "pip not foud" -.-

Mit "easy_install virtualenv" ... klappt zwar deren Installation, jedoch sagt das LetsEncrypt-Skript das selbe wie oben: "virtualenv not found"



Falls jemand einen Tipp hat an einen Terminal-Neuling --> immer her damit

 

[Kidaru]

soweit ich weis hat das hier noch keiner so richtig am laufen, der link unten beschreibt den vorgang recht gut und es scheint das die umgebung erst aktiviert werden muss.

https://letsencrypt.readthedocs.org/en/latest/contributing.html#prerequisites

 

[raymond]

Bitte mal alle Synology anschreiben, dass die das direkt in DSM 6 integrieren:
https://account.synology.com/support/beta_dsm_form.php

 

[andisds]

Bitte mal alle Synology anschreiben, dass die das direkt in DSM 6 integrieren:
https://account.synology.com/support/beta_dsm_form.php

Erledigt! Hoffentlich bringts was!

 

[blinddark]

Request ist raus.

 

[Kidaru]

Bitte mal alle Synology anschreiben, dass die das direkt in DSM 6 integrieren:
https://account.synology.com/support/beta_dsm_form.php

done

 

[Nima]

Am 03.12. soll die öffentliche Beta los gehen: http://www.heise.de/newsticker/meld...Gratis-SSL-Zertifikate-fuer-alle-2920357.html

 

[geimist]

Mal eine Frage in die Runde:
Da die Validierung (so wie ich verstanden habe) ja nicht E-Mailbasiert (d.h., man braucht Kontrolle über die Hauptdomain), sondern Server- / Domainbasiert funktioniert, sollte man doch auch Zertifikate für Subdomains (z.B. eine bliebige DDNS-Adresse) austellen lassen können.

Ist das so?

 

[Olli991]

Ich habe es zum Laufen bekommen!
Allerdings nicht nativ auf der NAS und nur im manual mode.

Geholfen hat mir dabei die anleitung aus diesem Thread: https://community.letsencrypt.org/t/synology-nas-using-le-as-a-ca-signing-authority/453/15

Ich werde diese hier noch ma in übersetzer Form posten:

1. Let's Encryp Beta beitreten (oder bis zur öffentichen Beta warten)
2. Warten bis man die Mail vom Beta-Programm bekommt damit die Domains gewhitlistet sind.
3. In DSM einloggen und per FileStation unter "web" folgenden Pfad erstellen: ".well-known/acme-challenge" (vorne ist ein Punkt vor dem "well" !!)
   Hinweis: Die WebStation muss über port 80 erreichbar sein (Also http öffnen und weiterleitung im Router auf 80 auch freigeben!)
4. Ubuntu 14.04 benutzen (ich habe mir das kurzerhand in VirtualBox installiert)
5. Terminal öffnen
6. Folgende Befehle im Terminal eingeben:
   

   git clone https://github.com/letsencrypt/letsencrypt
   cd letsencrypt
   ./letsencrypt-auto --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory certonly -a manual

7. Es erscheint ein Eingabedialog im Terminal, jetzt müsst ihr eure Domain(s) eingeben
8. Bestätigen, dass eure IP gesichert wird
9. Dann erscheinen einige Informationen die in etwa wie folgt aussehen:
   

   Make sure your web server displays the following content at
   http://test.synology.me/.well-known/acme-challenge/aFQ0LDDkn75K3LmvCIUvEYwq2Op1s9-ullGSwjsh0Is before continuing:
   
   aFQ0LDDkn75K3LmvCIUvEYwq2Op1s9-ullGSwjsh0Is.ONcckxWtBH9uUepl5Eo_BMJHTng23yAdFJ_jVtfSNLg
   
   Content-Type header MUST be set to text/plain.

   Mit der Aufforderung PRESS ENTER am Ende (noch nicht ENTER drücken!)
10. Öffnet TextEdit in DSM
11. Klickt in TextEdit auf Voreinstellungen, dann auf den Reiter Bearbeiten und wählt bei Standardcodierung UTF-8 aus und Speichern
12. Dann sagt Ihr Datei -> Neu
13. Nun kopiert Ihr den Grünen Text in das Dokument (Actung Terminal unter Ubunto kennt kein Strg+c, bitte markiert den Text mit der Maus und dann Rechtklick -> Kopieren. Anderweitig wird das script abgebrochen.)
    Darauf achten, dass nur eine Zeile befüllt ist und keine Leerzeile davor oder danach kommt.
14. Dann geht Ihr auf Speichern unter
15. Bei Dateiname kopiert ihr den blauen Text rein (darauf achten, dass kein .txt am ende steht!)
16. Wechselt zurück in der Terminal-Fenster und drückt Enter
17. Ihr erhaltet dann eine Erfolgsmeldung, den dort angegebene Pfad ignoriert ihr. / Wenn ihr bei Punkt 7 mehrere Domains angegeben habt, dann erhaltet ihr anstatt der Erfolgmeldung noch mal die Anzeige wie unter Punkt 9. Jetzt sind allerdings andere Schlüssel dort drin. Ihr müsst bei mehreren URLs mehrere dieser Datei dann erstellen!
18. Navigiert unter Ubuntu nach /etc/letsencrypt/archive/DEINEDOMAIN (Zugriff nur per root-Rechte!)
19. Kopiert euch die datei cert1.pem, chain1.pem und privkey1.pem an einen anderen Ort bzw. ändert die Zugriffsrechte per chmod oder z.B. mit nautilus
20. Diese Datein müsst ihr jetzt nur noch in der DSM -> Sicherheit -> Zertifikat importieren. Dabei bedeuten die Datein folgendes:
    Privater Schlüssel = privkey1.pem
    Zertifikat = cert1.pem
    Zwischenzertifikat = chain1.pem
21. Fertig!

PS: Ich saß jetzt mit dem, der die Anleitung auf Englisch verfasst hat eine Stunde per TeamViewer auf meinem Ubuntu bis wir das alles hin bekommen haben. Nette Nebeninfo: Er ist Chinese und arbeitet bei Synology in der Entwicklung (Quality Control Cloud Station) und will InHouse die implementierung vom ACME-Protokoll durchsetzen

Falls weitere Fragen bestehen sollten, gerne stellen =)